BSI: "IT-Bedrohungslage rot" durch Schwachstellen in Exchange-Servern

Published

Was war geschehen?

Nach Informationen von Microsoft sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist Anfang März bekannt geworden, dass vier sog. "Zero Day"-Sicherheitslücken in Microsoft Exchange Servern existieren. Diese Sicherheitslücken machen Unternehmen, Behörden u.a. Verantwortliche angreifbar, jedenfalls wenn die Software mit einer bestimmten Konfiguration genutzt wird.

Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar, so das BSI in einer aktuellen Meldung, und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Die Situation betrifft Unternehmen, Behörden, Veriene und andere Institutionen jeder Größe. Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Die BSI-Cyber-Sicherheitswarnung mit Informationen und Maßnahmen zum Umgang mit diesen Schwachstellen wird auf der BSI-Website bereitgestellt. Microsoft stellt online ebenfalls Informationen zum sog. Hafnium-Hack bereit.

Was sagen die Aufsichtsbehörden?

Weil Microsofts Exchange-Server-Software sehr weit verbreitet ist und die aktuellen Schwachstellen u.a. auch zu Datenpannen im Sinne von Art. 33 DSGVO führen können, gibt es auch Stellungenahmen von versch. Datenschutzaufsichtsbehörden.

Das BayLDA hat eine FAQ-Sammlung dazu online gestellt. Darin heißt es u.a.:

"Muss ein solcher Vorfall, d. h. die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen gemeldet werden?
Ja. Eine solche Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO ist immer dann notwendig, wenn es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Nur wenn in der vorliegenden Konstellation atypischerweise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, muss keine Meldung erfolgen. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren." (Hervorhebungen durch den Autor)

Das sehen andere Aufsichtsbehörden ganz ähnlich:

- HBDI ("Schwachstelle bei Microsoft Exchange-Servern"): "Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Darüber hinaus kann in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen." (Hervorhebungen durch den Autor)

- LfDI BW ("Aktive Ausnutzung der Microsoft Exchange Schwachstelle"): "Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden." (Hervorhebungen durch den Autor)

- LfDI M-V ("Kritische Sicherheitslücken im Microsoft Exchange Server"): "Weiterhin bestehen angesichts des hohen Schadenspotentials bei der Ausnutzung der schon seit langem bestehenden Sicherheitslücke und der dadurch deutlich erhöhten Wahrscheinlichkeit von bereits erfolgten Angriffen, für Verantwortliche noch weitere Untersuchungspflichten. Um auszuschließen, dass ein Einspielen der Microsoft-Updates zu spät gelungen ist und zwischenzeitlich bereits Schadcode installiert wurde, sind sämtliche betroffene Systeme dahingehend zu überprüfen, ob sie noch die Anforderungen an den gebotenen Schutz nach Art. 32 DS-GVO gewährleisten. [...] Werden bei den Überprüfungen etwaige Kompromittierung der Systeme festgestellt, weist Heinz Müller ausdrücklich darauf hin, dass diese mindestens zu einer Benachrichtigungspflicht durch den Verantwortlichen an seine Behörde, gem. Art. 33 Abs. 1 der DS-GVO führt [...]." (Hervorhebungen durch den Autor)

 

Was ist zu tun?

Es ist also sehr wichtig für alle betroffenen verantwortlichen Stellen, unverzüglich zu handeln, die erforderlichen Updates zu installieren bzw. installieren zu lassen und zu prüfen, ob für sie ggf. eine Pflicht zur Meldung an die zuständige Aufsichtsbehörde und ggf. auch an die Betroffenen (Mitarbeiter, Kunden, Bewerber, Vertragspartner...) besteht. Alle deutschen Aufsichtsbehörden stellen auf ihrer Website Formulare für die Meldung von solchen Datenpannen bereit.

Bitte unbedingt beachten: Für die Meldung an die Aufsichtsbehörde gilt eine 72-Stunden-Frist (Art. 33 Abs. 1 S. 2 DSGVO), die Benachrichtigung der Betroffenen muss unverzüglich erfolgen (Art. 34 Abs. 1 DSGVO).

Ankündigung einer bundeslandübergreifenden Prüfung von Unternehmen auf Datenübermittlungen in Drittstaaten

Author
Published

Bei der Übermittlung personenbezogener Daten in Nicht-EU-Staaten müssen besondere Voraussetzungen vorliegen. Insbesondere muss dort ein mit der EU vergleichbares Datenschutzniveau bestehen. Zu den Staaten, denen die EU-Kommission mit einem sog. Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bescheinigt, gehörte neben Kanada, Japan oder der Schweiz auch die USA - jedenfalls bis zum 16. Juli 2020. Denn an diesem Tag hat der EuGH den sog. EU-US-Privacy-Shield gekippt, der bis dato das angemessene Schutzniveau in den USA garantierte. Unternehmen sollten seit dem also schon längst ihre Datenübermittlungen in Drittstaaten, speziell in die USA, auf den Prüfstand gestellt haben. Jetzt haben die deutschen Datenschutz-Aufsichtsbehörden eine korrdinierte Überprüfung von Unternehmen auf Datenübermittlungen in Drittstaaten angekündigt - schnelles Handeln ist also gefragt.

Interviews mit Personen aus dem weiten Feld Datenschutz / IT-Sicherheit

Author
Published

Im Bereich Datenschutz / IT-Sicherheit arbeiten die unterschiedlichsten Menschen. Im Rahmen einer Interviewreihe haben einige von ihnen nach ihrem Lebensweg und ihrer aktuellen beruflichen Tätigkeit gefragt. Das Spektrum reicht von Datenschutz-Beratern, Rechtsanwälten, EDVlern, Professoren bis hin zu Beschäftigten aus Branchenverbänden sowie Datenschutzaufsichtsbehörden.

Wird der Einsatz von US-Tools bald datenschutzrechtlich unmöglich?

Author
Published

Diverse Behörden- bzw. Gerichtsentscheidungen der letzten Zeit zu Google Analytics, Google Fonts, Mailchimp o.ä. Tools von US-Anbietern legen die Befürchtung nahe, dass es zunehmend risikoreicher wird, derartige Dienste in die eigene Online-Präsenz einzubinden. Zumindest ist dies seit dem sog. "Schrems II"-Urteil des EuGH vom 16. Juli 2020 (Az. C-311/18) mit einem enormen Aufwand verbunden und bedarf einiges an Know-How.

BMI: Bald keine Datenschutz-Bußgelder mehr gegen Unternehmen?

Author
Published

Seit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) herrscht Streit darüber, gegen wen Geldbußen ausgesprochen werden können, wenn es in einem Unternehmen zu einem Datenschutzverstoß gekommen ist. Eine Ansicht will die Bußgelder unmittelbar gegen die betreffende juristische Person (also gegen das Unternehmen) richten. Eine andere Auffassung geht hingegen davon aus, dass ein Bußgeld nur gegen eine natürliche Person (also gegen einen Menschen) verhängt werden kan. Das Bundesministerium des Inneren, für Bau und Heimat (BMI) hat sich ebenfalls dazu geäußert.